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Beschreibung 

Vorrichtung und Verfahren zum Berechnen eines Ergebnisses ei- 
ner modularen Exponentiation 

Die vorliegende Erfindung bezieht sich auf die modulare Expo- 
nentiation und insbesondere auf die modulare Exponentiation 
unter Verwendung des chinesischen Restsatzes (CRT; CRT = Chi- 
nese Residue Theorem) . 

Bevor naher auf das RSA-Kryptosystem eingegangen wird, seien 
zunachst einige Grundbegrif f e der Kryptographie zusammenge- 
faftt. Allgemein unterscheidet man zwischen symmetrischen Ver- 
schlusselungsverfahren, die auch als Secret-Key- 
Verschlusselungsverf ahren bezeichnet werden, und Public-Key- 
Verschlusselungsverf ahren, welche auch als Verschlusselungs- 
verf ahren mit offentlichem Schlussel bezeichnet werden. 

Ein Kommunikationssystem mit zwei Parteien, welche eine Ver- 
schlusselung mit symmetrischem Schlussel verwenden, kann fol- 
gendermalien beschrieben werden. Die erste Partei teilt ihren 
Verschlusselungsschlussel uber einen sicheren Kanal der zwei- 
ten Partei mit. Dann verschlusselt die erste Partei die ge- 
heime Nachricht mittels des Schliissels und ubertragt die ver- 
schlusselte Nachricht uber einen offentlichen oder nicht- 
gesicherten Kanal zu der zweiten Partei. Die zweite Partei 
entschlusselt dann die verschlusselte Nachricht unter Verwen- 
dung des symmetrischen Schliissels, der der zweiten Partei u- 
ber den gesicherten Kanal mitgeteilt worden ist. Ein wesent- 
liches Problem bei solchen Verschlusselungssystemen besteht 
darin, ein effizientes Verfahren zum Austauschen der geheimen 
Schlussel, d. h. zum Finden eines sicheren Kanals, zu schaf- 
f en. 

Bei der asymmetrischen Verschlusselung wird hingegen folgen- 
dermaften vorgenommen. Eine Partei, die eine geheime Nachricht 
erhalten mochte, teilt ihren offentlichen Schlussel der ande- 
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ren Partei, d. h. der Partei, von der sie eine geheime Nach- 
richt erhalten mochte, mit. Der offentliche Schlussel wird 
uber einen nicht-gesicherten Kanal, also liber einen Offent- 
lichen" Kanal mitgeteilt. 

5 

Die Partei, die eine geheime Nachricht abschicken mochte, 
empfangt den offentlichen Schlussel der anderen Partei, ver- 
schlusselt die Nachricht unter Verwendung des offentlichen 
Schlussels und sendet die verschlusselte Nachricht wieder u- 

10 ber einen nicht-gesicherten Kanal, also uber einen offentli- 
chen Kanal, zu der Partei, von der der offentliche Schlussel 
stammt. Lediglich die Partei, die den offentlichen Schlussel 

^ erzeugt hat, ist in der Lage, einen privaten Schlussel be- 

reitzustellen, urn die verschlusselte Nachricht zu entschlus- 

15 seln. Nicht einmal die Partei, die unter Verwendung des of- 
fentlichen Schlussels ihre Nachricht verschlusselt hat, ist 
in der Lage, die Nachricht zu entschlusseln. Ein Vorteil die- 
ses Konzepts besteht darin, daft zwischen den beiden Parteien 
kein gesicherter Kanal, also kein geheimer Schliisselaustausch 

20 erforderlich ist. Die Partei, die die Nachricht verschlusselt 
hat, mufi und darf den privaten Schlussel des Nachrichtenemp- 
f angers nicht kennen. 

Ein physikalisches Analogon zum asymmetrischen Verschlusse- 
25 lungskonzept oder Public-Key-Verschlusselungskonzept stellt 
> sich f olgendermaften dar. Es sei eine Metallkiste betrachtet, 
deren Deckel durch ein Kombinationsschloft gesichert ist. Die 
Kombination kennt nur die Partei, die eine verschlusselte 
Nachricht erhalten mochte. Wenn das Schloft of fen gelassen 
30 wird und offentlich verfiigbar gemacht wird, dann kann jeder, 
der eine geheime Nachricht absetzen will, diese Nachricht in 
die Metallkiste hinein legen und den Deckel verschlielien . Nur 
der, von dem die Kiste stammt, kennt jedoch die Kombination 
des Kombinationsschlosses . Nur er ist in der Lage, die Nach- 
35 richt zu entschlusseln, d. h. die Metallkiste wieder zu off- 
nen. Selbst der, der die Nachricht in die Kiste hineingelegt 
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hatte, ist nicht mehr in der Lage, dieselbe wieder herauszu- 
holen. 

Wesentlich fur asymmetrische oder Public-Key-Verschliisse- 
5 lungskonzepte ist das zugrunde liegende mathematische Prob- 
lem, dessert Losung unter Verwendung des offentlichen Schliis- 
sels zur Entschlusselung nahezu unmoglich ist, dessen Losung 
jedoch unter Kenntnis des privaten Schlussels leicht moglich 
ist. Eines der bekanntesten Public-Key-Kryptosysteme ist das 
10 RSA-Kryptosystem. Das RSA-Kryptosystem ist im ^Handbook of 
Applied Cryptography", Menezes, van Oorschot, Vanstone, CRC 
Press 1997, Seiten 285-291 beschrieben. 

Anschliefiend wird auf Fig. 3 Bezug genommen, um den RSA-Algo- 
15 rithmus dar zustellen . Ausgangslage ist, daft ein Kommunikati- 
onspartner eine Nachricht m verschlusselt , die der andere 
Kommunikationspartner wieder entschlusseln muli. Die ver- 
schliisselnde Entitat muft zunachst in einem Schritt 200 den 
offentlichen Schlussel (n, e) erhalten, um der anderen Partei 
20 uberhaupt eine verschliisselte Nachricht schicken zu konnen. 
Daran anschliefiend muft die verschllisselnde Entitat in einem 
Schritt 210 die zu verschliisselnde Nachricht als Ganzzahl m 
darstellen, wobei m in dem Intervall von 0 bis n-1 liegen 
muft. In einem Schritt 220, welcher der eigentliche Verschlus- 
25 selungsschritt ist, muft die verschllisselnde Entitat folgende 
Gleichung berechnen: 

c = m e mod n. 

30 c ist die verschliisselte Nachricht. Diese wird dann in einem 
Schritt 230 ausgegeben und uber einen offentlichen Kanal, der 
in Fig. 2 mit 240 bezeichnet ist, zu dem Empf anger der ver- 
schllisselten Nachricht ubertragen. Dieser empfangt in einem 
Schritt 250 die verschliisselte Nachricht c und fuhrt in einem 

35 Schritt 260, welcher der eigentliche Entschlusselungsschritt 
ist, folgende Berechnung durch: 
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m = c d mod n - 

Aus Fig. 3 ist zu sehen, daft zum Verschlusseln lediglich der 
offentliche Schlussel (n, e) benotigt wird, jedoch nicht der 
5 private Schlussel d, wahrend beim Entschlusseln der private 
Schlussel d benotigt wird. 

Fraglich ist nun, wie ein Angreifer ein RSA-Kryptosystem bre- 
chen kann. Ihm ist der offentliche Schlussel, also n und e 
10 bekannt. Er konnte nunmehr den Modul n in ein Produkt von 

zwei Primzahlen f aktorisieren und dann den geheimen Schlussel 
d genauso berechnen, wie es die Schlussel-erzeugende authen- 
t^> tische Partei gemacht hat, Der Angreifer mufite hierzu samtli- 
che mogliche Primzahlenpaare p', q' durchprobieren, urn dann 
15 irgendwann unter Beriicksichtigung von e auf den privaten 
Schlussel d zu stoften. Bei kleinen Primzahlen p und q ist 
dieses Problem relativ leicht einfach durch Durchprobieren zu 
losen. Werden jedoch p und q, also der Modul n, der ja gleich 
der Produkt aus p und q ist, immer grofter, so steigen die 
20 verschiedenen Moglichkeiten fur die Faktorisierung des Moduls 
n in astronomische Hohen. Hierauf basiert die Sicherheit des 
RSA-System. Daraus ist zu sehen, daft ein sicheres RSA- 
Kryptosystem sehr lange Zahlen verwenden muft, welche 
beispielsweise 512, 1024 oder aber bis zu 2048 Bit lang sein 
25 konnen. 



Aus Fig. 3 ist zu sehen, daft sowohl fur eine RSA- 
Verschliisselung, urn aus einer nicht-verschlusselten Nachricht 
m eine verschliisselte Nachricht c zu erzeugen, als auch zum 
_30 Entschlusseln, also urn aus einer verschlusselten Nachricht c 
eine entschlusselte Nachricht m zu erzeugen, eine modulare 
Exponentiation berechnet werden muft . Dies wird in Fig. 3 
durch die Schritte 220 und 260 deutlich. Bei der Berechnung 
der modularen Exponentiation ist insbesondere dann der chine- 
35 sische Restsatz (CRT) gunstig, wenn die verwendeten Ganzzah- 
len, und insbesondere der Modul n lange Zahlen sind. Wie es 
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ausgefuhrt worden ist, basiert jedoch die Sicherheit des RSA- 
Algorithmus darauf, daft die Ganzzahlen lang sind. 

Der chinesische Restsatz ist in dem ^Handbook of Applied 
5 Cryptography, das vorher erwahnt wurde, auf Seite 610 ff be- 
schrieben. Der chinesische Restsatz und insbesondere in sei- 
ner Auspragung, die als Garner's Algorithmus bekannt ist, ba- 
siert darauf, die modulare Exponentiation mit dem Modul n auf 
zwei modulare Exponentiationen zweiter Untermodule p, q auf- 

10 zuspalten, wobei die Untermodule p, q Primzahlen sind und wo- 
bei das Produkt derselben den Modul n ergibt. Eine modulare 
Exponentiation mit einem langen Modul wird somit auf zwei mo- 

f dulare Exponentiationen mit kurzeren (typischerweise halb so 
langen) Untermodulen zerlegt. Dieses Verfahren ist darin vor- 

15 teilhaft, daii lediglich halb so lange Rechenwerke benotigt 

werden bzw. daft, bei gleichbleibender Lange eines Rechenwerks 
doppelt so lange Zahlen verwendet werden konnen, was in einem 
gunstigeren Verhaltnis von Sicherheit zu Chipflache, also 
allgemein in einem besseren Verhaltnis von Leistung zu Preis 

20 resultiert. 

Der chinesische Restsatz angewendet auf die beschriebene mo- 
dulare Exponentiation stellt sich f olgendermafien dar. Zu- 
nachst werden zwei Primzahlen pq ermittelt, die moglichst na- 
25 hezu gleich lang sein sollten, und deren Produkt p x q den 
Modul n ergibt. Anschlieftend wird eine erste Hilfsgrofie dp 
f olgendermafien berechnet: 

dp = d mod (p - 1) . 

30 

Hierauf wird eine zweite Hilfsgrofie dq berechnet: 
dq = d mod (q - 1) . 
35 Daran anschlieUend wird eine dritte Hilfsgrofte Mp berechnet: 
Mp = c dp mod p. 
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Eine weitere Hilfsgrofie Mq wird f olgendermalien berechnet: 
Mq = c dq mod q. 

5 

In einem abschliefienden Zusammenf assungsschritt wird schlieft- 
lich das Ergebnis der modularen Exponentiation, d. h. im vor- 
liegenden Beispiel die Klartext-Nachricht m f olgendermalien 
berechnet, wenn c die verschlusselte Nachricht ist: 

10 

m = Mq + [ (Mp - Mq) x q" 1 mod p] x q 

Aus der vorangehenden Darstellung des chinesischen Restsat- 
zes ist zu sehen, daft eine modulare Exponentiation mit einem 

15 langen Modul n in zwei modulare Exponentiationen mit halb so 
langen Untermodulen p, q zerlegt worden ist, und daft dann, im 
letzten Schritt, urn die Klartextnachricht m zu berechnen, ei- 
ne Zusammenf assungsoperation ausgefiihrt wird, in der die mul- 
tiplicative Inverse q' 1 bezuglich eines Untermoduls p beno- 

20 tigt wird. Nachdem der Untermodul p kurzer als der ursprung- 
liche Modul n ist, ist auch die Berechnung der multiplikati- 
ven Inversen q" 1 z. B. unter Verwendung des erweiterten 
Euklidschen Algorithmus, mit vertretbarem Rechenauf wand mog- 
lich . 

? ' Obgleich die Verwendung des chinesischen Restsatzes die Re- 

chenzeitef f izienz bzw. den Chipf lachenverbrauch eines Si- 
cherheits-IC reduziert, birgt der chinesische Restsatz Prob- 
leme durch Angriffe auf das Kryptographiesystem, wie z. B. 
30 sogenannten Side-Channel-Attacken, Leistungsanalysen oder 

Fehlerattacken. Ein Angreifer konnte solche Attacken auf den 
Algorithmus ausfiihren, um den privaten Schlussel d zu „kna- 
cken NV . 

35 Im Falle der RSA-Verschlusselung, also wenn aus der Klartext- 
nachricht m eine verschlusselte Nachricht c berechnet werden 
soil, ist das Sicherheitsproblem nicht derart evident, da zur 



200112054 

7 



Verschlusselung einer Nachricht ohnehin nur der offentliche 
Schlussel e verwendet wird. Jedoch tritt das Problem bei der 
Verwendung von RSA als Signaturalgorithmus auf. 

5 Die Aufgabe der vorliegenden Erfindung besteht darin, ein si- 
cheres und effizientes Konzept zur Berechnung der modularen 
Exponentiation zu schaffen, das die RSA-Signatur mittels CRT 
gegen Fehlerattacken schutzt. 

10 Diese Aufgabe wird durch eine Vorrichtung zum Berechnen eines 
Ergebnisses einer modularen Exponentiation gemaft Patentan- 
spruch 1 oder 6 oder durch eine Vorrichtung zum Berechnen ei- 
nes Ergebnisses einer modularen Exponentiation gemafi Patent- 
anspruch 9 oder 10 gelost. 

15 

Der vorliegenden Erfindung liegt die Erkenntnis zugrunde, daft 
die Sicherheit der modularen Exponentiation, die die Basis- 
operation fur RSA-Verschltisselungen ist, auch dann erhoht 
werden kann, wenn der chinesische Restsatz eingesetzt wird, 

20 um die RSA-Exponentiation effizienter berechnen zu konnen. 

Dies wird dadurch erreicht, daft benotigte Hilfsgroften fur den 
chinesischen Restsatz randomisiert werden bzw. daft ein Si- 
cherheitsparameter bei den modularen Exponentiationen fur die 
Untermodule eingefuhrt wird. Die Randomisierung der Exponen- 

25 ten und/oder die durch den Sicherheitsparameter bewirkte Ver- 
anderung des Moduls der beiden „Hilf s-Exponentiationen" des 
chinesischen Restsatzes liefern eine erhohte Sicherheit gegen 
Side-Channel-Attacken oder Fehlerattacken. 

30 Ein weiterer Vorteil der vorliegenden Erfindung besteht dar- 
in, daft bestehende Kryptoprozessoren, mit denen unter Ver- 
wendung des CRT die RSA-Exponentiation berechnet werden kann, 
nicht modifiziert werden mussen, sondern daft lediglich die 
CRT-Standardparameter modifiziert werden mussen, jedoch nicht 

35 die zentralen Rechenschritte zur Berechnung der beiden modu- 
laren Exponentiationen unter Verwendung der Untermodule. 
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Dies bedeutet, dafi samtliche vorhandenen Strukturen fur die 
Schlusselverwaltung der RSA-Schlussel weiter benutzt werden 
konnen. 

Bevorzugte Ausf uhrungsbeispiele der vorliegenden Erfindung 
werden nachfolgend Bezug nehmend auf die beiliegenden Zeich- 
nungen detailliert erlautert. Es zeigen: 

Fig. 1 eine Vorrichtung zum Berechnen der modularen Expo- 
nentiation gemafr einem ersten Ausf uhrungsbeispiel 
der vorliegenden Erfindung, bei dem die Exponenten 
der Hilf s-Exponentiationen randomisiert sind; 

Fig. 2a einen Ausschnitt einer Vorrichtung zum Berechnen 
der modularen Exponentiation gemali einem zweiten 
Ausf uhrungsbeispiel der vorliegenden Erfindung, das 
entweder allein oder zusammen mit dem ersten Aus- 
f uhrungsbeispiel der vorliegenden Erfindung verwen- 
det werden kann, wobei die Untermodule randomisiert 
sind; 

Fig. 2b eine Fehleriiberpruf ungstechnik zum Uberprufen der 
Ergebnisse der Hilf s-Exponentiationen vor der Zu- 
sammenf assung der Ergebnisse; und 

Fig. 3 ein schematisches Fluftdiagramm des RSA-Algorithmus 
zur Verschlusselung und zur Entschlusselung. 

Fig. 1 zeigt eine erf indungsgemafie Vorrichtung zum sicheren 
Berechnen des Ergebnisses einer modularen Exponentiation un- 
ter Verwendung des chinesischen Restsatzes. Eingangsparameter 
sind zwei Primzahlen p, q, deren Produkt den Modul n der mo- 
dularen Exponentiation ergeben. Ein weiterer Eingabeparameter 
ist der Schlussel d. Im nachf olgenden wird das erste Ausfuh- 
rungsbeispiel der vorliegenden Erfindung anhand der Ent- 
schlusselung beim RSA-Algorithmus dargestellt. Aus einer ver- 
schliisselten Nachricht c wird unter Verwendung des privaten 
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Schlussels d die entschlusselte Nachricht m gemafl folgender 
Gleichung berechnet: 

m = c d mod n. 

5 

Die erf indungsgemafte Vorrichtung umfafit eine Einrichtung 100 
zum Berechnen der ersten HilfsgrofJe dp gemafi folgender Glei- 
chung: 

10 dp = d mod (p - 1) . 

Eine weitere Einrichtung 102 zum Berechnen einer zweiten 
Hilfsgrofie dq fuhrt folgende Gleichung aus: 

15 dq = d mod (q - 1) . 

Die erf indungsgemafte Vorrichtung zum Berechnen eines Ergeb- 
nisses einer modularen Exponentiation umfaftt ferner eine Ein- 
richtung 104 zum Erzeugen einer Zufallszahl IRND 104. Dieser 
20 Einrichtung ist wiederum eine Einrichtung 106 nachgeschaltet, 
urn eine dritte Hilfsgrofte dp' gemaft folgender Gleichung zu 
berechnen: 

dp' = IRND x (p - 1) + dp. 

25 

fW- Die dritte Hilfsgrofie dp' ist somit ein randomisierter Expo- 
nent der ersten Hilf s-Exponentiation, die mittels einer Ein- 
richtung 110 zum Berechnen der funften Hilfsgrofie Mp berech- 
net wird, die ausgebildet ist, urn folgende Gleichung auszu- 
30 fuhren: 

Mp = c dp ' mod p. 

Analog hierzu ist eine Einrichtung 108 vorgesehen, urn eine 
35 vierte Hilfsgrofie dq' gemaft folgender Gleichung zu berechnen: 

dq' = IRND (q - 1) + dq. 
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Mittels der vierten Hilfsgrofte, die den randomisierten Expo- 
nenten der zweiten Hilf s-Exponentiation darstellt, arbeitet 
eine Einrichtung 112 zum Berechnen der sechsten HilfsgroBe 



Eine Einrichtung 114 berechnet schlieBlich das Ergebnis m, d. 
10 h. im vorliegenden Beispiel die entschlusselte Nachricht, ge- 
raafi folgender Gleichung: 



15 Die fur den RSA-Algorithmus benotigte modulare Exponentiation 
kann ferner sicherer gestaltet werden, wenn der Hilfsmodul d 
bzw. der Hilfsmodul q verandert werden. Dies ist in Fig. 2a 
dargestellt. Eine Vorrichtung gemafr einem zweiten Ausfuh- 
rungsbeispiel der vorliegenden Erfindung umfaftt eine Einrich- 

20 tung 120 zum Erzeugen einer Primzahl T als Sicherheitsparame- 
ter, die vorzugsweise eine relativ kleine Primzahl ist, damit 
der Rechenzeitvorteil des chinesischen Restsatzes nicht zu- 
gunsten der Sicherheit zu stark „geopfert" wird. Das Ergebnis 
der ersten Hilf s-Exponentiation Mp wird dann genauso wie das 
.25 Ergebnis der zweiten Hilf s-Exponentiation Mq nicht unter Ver- 
wendung der ursprunglichen Hilf s-Untermodule p, q, sondern 
unter Verwendung der mit dem Sicherheitsparameter beauf- 
schlagten Hilf s-Untermodule p x T bzw. q x T durch die Ein- 
richtungen 110' bzw. 112' berechnet. Bereits die Veranderung 

30 der Untermodule p, q alleine, also ohne Randomisierung der 

Hilf s-Exponenten dp' bzw. dq' liefert eine erhohte Sicherheit 
gegenuber kryptographischen Attacken. Die sicherste Variante 
gemaft der vorliegenden Erfindung besteht jedoch darin, sowohl 
die Randomisierung der Hilf s-Exponenten, wie in Fig. 1 darge- 

35 stellt, als auch die veranderten Hilf s-Module f wie es in Fig. 
2a dargestellt ist, zu verwenden. In diesem Fall wurde die 
Vorrichtung zum Berechnen eines Ergebnisses einer modularen 



5 



Mq: 



Mq 



= c aq mod q. 




m = Mq + [ (Mp - Mq) x q 1 mod p] x q. 
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Exponentiation wie in Fig. 1 dargestellt ausgebildet sein, 
jedoch mit dem Unterschied, daft die Einrichtung 120 vorgese- 
hen ist, und die Einrichtung 110 und 112 von Fig. 1 statt der 
Untermodule p, q die mit dem Sicherheitsparameter beauf- 
schlagten Untermodule pT bzw. qT verwenden. 

Die Verwendung der mit dem Sicherheitsparameter beaufschlag- 
ten Untermodule zusammen mit den randomisierten Exponenten 
ermoglicht es, wie es in Fig. 2b dargestellt ist, vor der Be- 
rechnung des Ergebnisses unter Verwendung der Einrichtung 114 
von Fig. 1 eine Hilf s-Berechnung durchzuf uhren, wie sie im 
Block 140 von Fig. 2b dargestellt ist. Wenn diese Gleichung 
erfullt ist, kann eine Ausgabe erfolgen, daft der chinesische 
Restsatz (CRT) korrekt ausgefuhrt ist (Block 142) . 

Ist die durch die Einrichtung 140 dargestellte Gleichheitsbe- 
dingung nicht erfullt, kann eine Ausgabe 144 erfolgen. Tritt 
ein CRT-Fehler auf, so kann die Rechnung bereits hier vor der 
„Zusammenfassung XN durch die Einrichtung 114 abgebrochen wer- 
den. Weiterhin ist ferner sichergestellt , daft die randomi- 
sierten Hilf sexponenten dp' und dq' auf die durch den Sicher- 
heitsparameter veranderten Untermodule pT bzw. qT abgestimmt 
sind, wenn, wie es bevorzugt wird, sowohl die Hilfs- 
Exponenten randomisiert werden als auch die Untermodule ver- 
andert werden. Als Sicherheitsparameter T wird im Sinne eines 
Kompromisses zwischen CRT-Rechenersparnis und Sicherheit auf- 
grund der verlangerten Untermodule die relative kleine Prim- 
zahl 32771 bevorzugt. 

Die Zwischenergebnisuberpruf ung durch die Einrichtung 140 
stellt sicher, dass bereits vor Ausgabe eines Ergebnisses der 
Algorithmus abgebrochen wird, wenn beispielsweise wahrend der 
Berechnung von M p und/oder M q eine Fehlerattacke auf den Si- 
cherheits-IC ausgefuhrt worden ist. Diese Attacke wird schei- 
tern, da im Falle einer solchen Attacke ^RT-Fehler" durch 
die Einrichtung 140 erzeugt wird, so dass keine Ausgabe erfo- 
gen wird und die Fehlerattacke somit ins Leere geht . Des Wei- 
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teren sei darauf hingewiesen, dass dieser Schutz durch die 
Zwischenergebnispruf ung relativ wenig aufwendig ist, da der 
Parameter T vorzugsweise eine kleine Primzahl ist, so dass 
die Exponentiation im Block 140 von Fig. 2b einen im Ver- 
gleich zum Modul kleinen Exponenten hat. 
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Patentanspruche 

1. Vorrichtung zum Berechnen eines Ergebnisses einer modula- 
ren Exponentiation, wobei n ein Modul ist, wobei d ein Expo- 
5 nent ist, und wobei c eine Grolie ist, die der modularen Expo- 
nentiation zu unterziehen ist, mit folgenden Merkmalen: 

einer Einrichtung (100) zum Berechnen einer ersten Hilfsgrofte 
dp, wobei dp f olgendermaften definiert ist: 

10 

dp = d mod (p - 1) , 




wobei p eine erste Primzahl ist; 



15 einer Einrichtung (102) zum Berechnen einer zweiten Hilfsgro- 
fie dq, wobei dq f olgendermaften definiert ist: 

dq = d mod (q - 1) , 

20 wobei q eine zweite Primzahl ist, 

wobei ein Produkt aus p und q gleich dem Modul n ist; 

einer Einrichtung (104) zum Erzeugen einer Zufallszahl 
25 (IRND); 

m 

einer Einrichtung (106) zum Erzeugen einer dritten Hilfsgrofie 
dp', wobei dp' f olgendermaften definiert ist: 

30 dp' = IRND x (p - 1) + dp; 

einer Einrichtung (108) zum Erzeugen einer vierten Hilfsgrofie 
dq', wobei dq' f olgendermaften definiert ist: 



35 



dq' = IRND x (q - 1) + dq; 
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einer Einrichtung (110) zum Erzeugen einer funften HilfsgroBe 
Mp, wobei die funfte HilfsgroBe Mp f olgendermalien definiert 
ist : 

Mp = c dp ' mod p; 

einer Einrichtung (112) zum Erzeugen einer sechsten Hilfsgro- 
Be Mq, wobei die sechste HilfsgroBe Mq f olgendermaBen defi- 
niert ist: 

Mq = c dq ' mod q; und 

einer Einrichtung (114) zum Berechnen des Ergebnisses der mo- 
dularen Exponentiation m, wobei m f olgendermalien definiert 
ist : 

m = Mq + [ (Mp - Mq) x q" 1 mod p] x q. 

2. Vorrichtung nach Anspruch 1, die ferner eine Einrichtung 
(120) zum Erzeugen eines Sicherheitsparameters T aufweist, 

wobei die Einrichtung (110) zum Erzeugen der funften Hilfs- 
groBe Mp ausgebildet ist, urn die fiinfte HilfsgroBe folgender- 
maBen zu berechnen: 

Mp = c dp ' mod (pT); und 

wobei die Einrichtung (112) zum Erzeugen der sechsten Hilfs- 
groBe Mq ausgebildet ist, urn die sechste HilfsgroBe Mq fol- 
gendermaBen zu berechnen: 

Mq = c dq ' mod (q x T) . 

3. Vorrichtung nach Anspruch 2, die ferner eine Einrichtung 
zum Berechnen einer siebten HilfsgroBe H7 aufweist, wobei die 
siebte HilfsgroBe H7 f olgendermalien definiert ist: 
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H7 = Mp x Mq mod T; und 

bei der ferner eine Einrichtung zum Berechnen einer achten 
Hilfsgrofle H8 vorgesehen ist, wobei die achte Hilfsgrofle H8 
5 f olgendermafien definiert ist: 

H8 = c (dp'W)mod(T-i) mQd T; und 

eine Einrichtung zum Vergleichen der siebten und der achten 
10 Hilfsgrofle, wobei die Einrichtung zum Vergleichen angeordnet 
ist, urn auf einen Fehler hinzuweisen, wenn die siebte und die 
achte Hilfsgrofle unterschiedlich sind. 

4. Vorrichtung nach einem der vorhergehenden Anspruche, die 
15 fur eine RSA-Entschlusselung oder RSA-Signatur vorgesehen 

ist, wobei m eine Klartextnachricht ist, wobei d ein geheimer 
Schlussel ist, und wobei c eine verschlusselte Nachricht ist. 

5. Vorrichtung zum Berechnen eines Ergebnisses einer modula- 
20 ren Exponentiation, wobei n ein Modul ist, wobei d ein Expo- 
nent ist, und wobei c eine Grofte ist, die der modularen Expo- 
nentiation zu unterziehen ist, mit folgenden Merkmalen: 

einer Einrichtung (100) zum Berechnen einer ersten Hilfsgrofle 
^25 dp, wobei dp f olgendermafien definiert ist: 

dp = d mod ( p - 1 ) , 

wobei p eine erste Primzahl ist; 



30 



einer Einrichtung (102) zum Berechnen einer zweiten Hilfsgro- 
fle dq, wobei dq f olgendermaflen definiert ist: 

dq = d mod (q - 1) , 



35 



wobei q eine zweite Primzahl ist, 
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wobei ein Produkt aus p und q gleich dem Modul n ist; 

eine Einrichtung (104) zum Bereitstellen eines Sicherheitspa- 
rameters T; 

5 

einer Einrichtung zum Erzeugen einer dritten Hilfsgroiie p x T 
und einer vierten Hilfsgroiie q x T; 

einer Einrichtung (110) zum Erzeugen einer funften Hilfsgroiie 
10 Mp, wobei die funfte Hilfsgroiie Mp f olgendermalien definiert 
ist : 

4£ Mp = c dq mod (p x T) ; 

15 einer Einrichtung (112) zum Erzeugen einer sechsten Hilfsgro- 
fie Mq, wobei die sechste Hilfsgroiie Mq f olgendermalien defi- 
niert ist: 

Mq = c dq mod (q x T) ; und 

20 

einer Einrichtung (114) zum Berechnen des Ergebnisses der mo- 
dularen Exponentiation m, wobei m f olgendermalien definiert 
ist : 

_25 m = Mq + [ (Mp - Mq) x q" 1 mod p] x q. 

%' 

6. Vorrichtung nach Anspruch 5, bei der der Sicherheitspara- 
meter T eine Primzahl ist. 

30 7. Vorrichtung nach Anspruch 3 oder 5, bei der der Sicher- 

heitsparameter T klein im Vergleich zu der ersten Primzahl p 
bzw. zu der zweiten Primzahl q ist. 

8. Verfahren zum Berechnen eines Ergebnisses einer modularen 

35 Exponentiation, wobei n ein Modul ist, wobei d ein Exponent 

ist, und wobei c eine Grolie ist, die der modularen Exponenti- 
ation zu unterziehen ist, mit folgenden Schritten: 
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Berechnen (100) einer ersten Hilfsgrofie dp, wobei dp folgen- 
dermafien definiert ist: 

5 dp = d mod (p - 1) , 

wobei p eine erste Primzahl ist; 

Berechnen (102) einer zweiten Hilfsgrofie dq, wobei dq folgen- 
10 dermafien definiert ist: 

dq = d mod (q - 1) , 

wobei q eine zweite Primzahl ist, 

15 

wobei ein Produkt aus p und q gleich dem Modul n ist; 

Bereitstellen (104) einer Zufallszahl (IRND); 

20 Erzeugen (106) einer dritten Hilfsgrofie dp', wobei dp' fol- 
gendermafien definiert ist: 

dp' = IRND x (p - 1) + dp; 

25 Erzeugen (108) einer vierten Hilfsgrofie dq', wobei dq' fol- 
^) gendermafien definiert ist: 

dq' = IRND x (q - 1) + dq; 

30 Erzeugen (110) einer funften HilfsgroBe Mp, wobei die funfte 
Hilfsgrofie Mp f olgendermaflen definiert ist: 

Mp = c dp mod p; 

35 Erzeugen (112) einer sechsten Hilfsgrofie Mq, wobei die sechs- 
te Hilfsgrofie Mq f olgendermafien definiert ist: 
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Mq = c dq ' mod q; und 

Berechnen (114) des Ergebnisses der modularen Exponentiation 
m, wobei m f olgendermafien definiert ist: 

5 

m = Mq + [ (Mp - Mq) x q" 1 mod p] x q. 

10. Verfahren zum Berechnen eines Ergebnisses einer modularen 
Exponentiation, wobei n ein Modul ist, wobei d ein Exponent 
10 ist, und wobei c eine Grofie ist, die der modularen Exponenti- 
ation zu unterziehen ist, mit folgenden Schritten: 

Berechnen (100) einer ersten Hilfsgrofie dp, wobei dp folgen- 
dermalien definiert ist: 

15 

dp = d mod (p - 1) , 

wobei p eine erste Primzahl ist; 

20 Berechnen (102) einer zweiten Hilfsgrofie dq, wobei dq folgen- 
dermaften definiert ist: 

dq = d mod (q - 1) , 

^25 wobei q eine zweite Primzahl ist, 

wobei ein Produkt aus p und q gleich dem Modul n ist; 

Erzeugen (104) eines Sicherheitsparameters T; 

30 

Erzeugen einer dritten Hilfsgrofte p x T und einer vierten 
Hilfsgrofie q x T; 

Erzeugen (110) einer funften Hilfsgrofie Mp, wobei die funfte 
35 Hilfsgrofie Mp f olgendermafien definiert ist: 



Mp = c ap mod (p x T) ; 
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Erzeugen (112) einer sechsten Hilfsgrofte Mq, wobei die sechs- 
te Hilfsgrofte Mq f olgendermaften definiert ist: 

Mq = c dq mod (q x T) ; und 

Berechnen (114) des Ergebnisses der modularen Exponentiation 
m, wobei m f olgendermaften definiert ist: 



m = Mq + [ (Mp - Mq) x q" 1 mod p] x q. 
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Zusammenf as sung 

Vorrichtung und Verfahren zum Berechnen eines Ergebnisses ei- 
ner modularen Exponentiation 

Bei einer Vorrichtung zum Berechnen eines Ergebnisses einer 
modularen Exponentiation wird der chinesische Restsatz (CRT) 
verwendet, bei dem unter Verwendung von zwei Hilf sexponenten 
und zwei Untermodulen zwei Hilf s-Exponentiationen berechnet 
werden. Urn die Sicherheit der RSA-CRT-Berechnung gegenuber 
kryptographischen Attacken zu verbessern, wird eine Randomi- 
sierung der Hilf s-Exponenten und/oder eine Veranderung der 
Untermodule durchgef uhrt . Damit ist eine sichere RSA- 
Entschlusselung bzw. RSA-Verschlusselung mittels des rechen- 
zeitef f izienten chinesischen Restsatzes gegeben. 



Figur 1 
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Bezugszeichenliste 

100 Einrichtung zum Berechnen einer ersten HilfsgrofJe dp 
102 Einrichtung zum Berechnen einer zweiten HilfsgrofJe dq 
104 Einrichtung zum Erzeugen einer Zufallszahl IRND 
106 Einrichtung zum Erzeugen einer dritten HilfsgrofJe dp' 
108 Einrichtung zum Erzeugen einer vierten HilfsgrofJe dq' 
110 Einrichtung zum Berechnen einer funften HilfsgrofJe Mp 
110 ' Einrichtung zum Erzeugen der funften HilfsgrofJe Mp unter 

Verwendung eines veranderten Untermoduls 
112 Einrichtung zum Berechnen einer sechsten HilfsgrofJe Mq 
112 'Einrichtung zum Erzeugen der sechsten HilfsgrofJe Mq 

unter Verwendung eines veranderten Untermoduls 
114 Einrichtung zum Berechnen des Ergebnisses der modularen 

Exponentiation 

120 Einrichtung zum Erzeugen des Sicherheitsparameters T 
140 Einrichtung zum Berechnen einer siebten HilfsgrofJe H7 

und einer achten HilfsgrofJe H8 
142 Einrichtung zum Bestatigen der Ubereinstimmung der 

siebten und achten HilfsgrofJe 
144 Einrichtung zum Hinweisen auf einen Fehler im CRT 
200 Erhalten des offentlichen Schlussels 
210 Darstellen der Nachricht als Zahl 
220 Berechnen von c 
230 Ausgeben von c 
240 Kanal 

250 Empfangen von c 
260 Berechnen von m 
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